Conficker (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu en octobre 2008]. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000, XP, Vista, 7, 2003 et 2008. Conficker est principalement installé sur les machines fonctionnant sous Windows XP. Microsoft a rendu public un patch pour enlever ce ver le 15 octobre 2008— F-Secure — déclarait que Conficker avait infecté presque 9 000 000 ordinateurs.
Plusieurs méthodes et outils de détections et de suppressions existe est on été publié dans le document « Know Your Enemy: Containing Conficker » publié par le projet honeynet avec l’aide du conficker working group :
Test en ligne de Conficker
Les infections du Conficker.B. C peuvent être détectés simplement en surfant sur une page web contrairement au Conficker.A Cliquez ci-dessous pour vérifier votre système
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
Nom de domaine Générés par Conficker
Les Différentes variantes de Conficker vérifient différents domaines pour se mettre à jour. Conficker.A. B génèrent et vérifient 250 domaines chacun jour. Conficker.C va commencer la vérification de 50.000 noms de domaine.
Les noms de domaine utilisé par Conficker des différentes variantes peuvent être utilisés pour détecter les machines infectées dans un réseau. Inspiré par le « downatool » de MHL et B. Enright, un outil a été développé Downatool2. Il peut être utilisé pour générer les domaines utilisées par Downadup / Conficker.A. B, et. C. combinées a des firewalls, antivirus … sniffer facilitent la détection des machine infectées et empêcher leur mise a jour .
L’outil et le code source peut être téléchargé ici:
Outil : downatool2.exe 90 K
Code Source : downatool2.zip 4.9 K
Désinfection de la Mémoire
Il est difficile d’identifier les fichiers contenant Conficker, car les exécutables sont compressé et cryptée. Lorsque Conficker s’exécute dans la mémoire, il est entièrement décompressé. L’outil de désinfection de mémoire scanne tous les processus en cours et termine les processus Conficker fils sans toucher au processus Père , cela aide à maintenir le service système en cours d’exécution.
L’outil et le code source peut être téléchargé ici:
Outil : conficker_mem_killer.exe 594 K
Code Source : memscan.zip 8,4K
Détection des modifications fichiers et Registre par Conficker
D’autres rapports expliquent que les noms des fichiers et le clés de registre de Conficker.B. C ne sont pas aléatoires. Ils sont calculés sur la base de nom d’hôte. Un outil a été mis au point pour vérifier l’existence des DLL Conficker . Malheureusement, Conficker.A utilise des noms aléatoires et ne peuvent donc pas être trouvées de cette façon.
L’outil et le code source peut être téléchargé ici:
Outil : regnfile.exe
Code Source conficker_names.zip 48 K
Scanneur de réseaux :
SCS
Une autre option consiste à analyser activement pour Conficker machines. Il ya une façon de distinguer les machines infectées et non a l’aide du code d’erreur de certains messages RPC spécialement conçue. Conficker tente de filtrer les tentatives d’ l’exploitation qui conduit à peu des réponses.
Un script python scs.py est un simple scanner sur la base de cette observation: Voici un exemple de sortie:
./scs.py 127.43.16.76 127.43.16.76
Could not send SMB request to 127.43.16.76:445/tcp.
./scs.py 127.99.100.2 127.99.100.2
127.99.100.2 seems to be infected by Conficker.
./scs.py 127.36.15.80 127.36.15.80
127.36.15.80 seems to be clean.
L’outil et le code source peut être téléchargé ici:
Outil :Win32 scs_exe.zip
Outil Pyton : scs_exe.zip
NMAP
La dernier version de NMAP implémente les fonctionnalité de détection de Conficker vous pouvez utiliser la commande suivante :
nmap -PN -T4 -p139,445 -n -v --script=smb-check-vulns --script-args safe=1 IP
NESUS
Tenable Security a aussi publié un nouveau plugin pour Nessus #36036 qui détecte conficker